По данным переписи, сотни компонентов с открытым исходным кодом могут подорвать безопасность



Linux Basis и Гарвардская лаборатория инновационных наук на этой неделе опубликовали рейтинг 500 лучших проектов с открытым исходным кодом в двух основных экосистемах, что является первым шагом к каталогизации критически важных программных компонентов, на которые опирается большая часть Интернета, приложений и микропрограмм устройств.

Списки общих программных компонентов, получившие название Census II of Loose and Open Supply Instrument — Utility Libraries, ранжируют 500 лучших пакетов из экосистемы Node Package deal Supervisor (NPM), ориентированной на JavaScript, и 500 лучших компонентов из экосистем, не относящихся к NPM, в том числе репозиторий Maven, ориентированный на Java, индекс пакетов Python (PyPI) и репозиторий пакетов NuGet, ориентированный на .NET. Linux Basis и Harvard создали четыре разных списка для каждой экосистемы в зависимости от того, были ли пакеты импортированы прямо или косвенно, и учитывалась ли в ходе анализа каждая версия отдельно.

В дополнение к данным из общедоступных репозиториев, в ходе переписи использовалась телеметрия от трех фирм, занимающихся анализом состава программного обеспечения, чтобы получить информацию о том, какие программные компоненты обычно используются компаниями в своих приложениях, говорит Фрэнк Нэгл, доцент кафедры делового администрирования Гарвардской школы бизнеса и один из пять авторов отчета о переписи II.

«Мы хотим привнести немного научности в то, как мы собираемся инвестировать в защиту программного обеспечения с открытым исходным кодом», — говорит он. «Ни в коем случае этот список не идеален — это не все, что нужно для открытого исходного кода, но в то же время это то, что основано на использовании открытого исходного кода в тысячах компаний».

Защита программного обеспечения с открытым исходным кодом и коммерческого программного обеспечения, включенного в приложения, в этом году стала серьезной проблемой для правительства и бизнеса США. Программное обеспечение с открытым исходным кодом обычно составляет от 70% до 90% кода в веб-приложениях и облачных приложениях — компания Synopsys, занимающаяся безопасностью приложений, обнаружила, что 98% приложений, проанализированных с помощью ее службы, включали программное обеспечение с открытым исходным кодом, а 75% средней кодовой базы приходилось на проекты с открытым исходным кодом. По словам компании, среднее программное приложение опирается на более чем 500 зависимостей с открытым исходным кодом.

Приказ Байдена о безопасности программного обеспечения
В январе, когда компании изо всех сил пытались выследить и исправить приложения, затронутые компонентом Log4j, Белый дом провел саммит по программному обеспечению, чтобы поручить государственному и частному секторам инвестировать больше ресурсов в защиту программного обеспечения с открытым исходным кодом. Ряд технологических компаний во главе с Microsoft и Google вложили деньги в Open Supply Safety Basis (OpenSSF) для выявления критически важных компонентов программного обеспечения и финансирования обучения безопасности, дополнительных разработчиков и тестирования приложений, в том числе в рамках OpenSSF Alpha-Omega. Проект.

Проект Census II направлен на поиск широко распространенных проектов с открытым исходным кодом, в которых используются устаревшие версии, популярные компоненты, поддерживаемые перегруженными разработчиками, и распространенные компоненты, для которых требуется медленное время устранения уязвимостей.

“[T]здесь могут быть интегральные проекты FOSS, чья простота или размер могут противоречить их жизненной важности для современной экономики», — заявили авторы в отчете. «Таким образом, всеобъемлющая цель [of the project] заключается в укреплении этой инфраструктуры и защите от системных уязвимостей».

По словам Нэгла, цель проекта — предоставить трем группам больше данных об использовании программного обеспечения с открытым исходным кодом. Первая группа — правительственные учреждения и организации по безопасности с открытым исходным кодом — нуждаются в данных, чтобы определить, куда инвестировать средства, выделяемые государственными инициативами, такими как указ администрации Байдена о безопасности программного обеспечения, и частными усилиями, такими как OpenSSF. . Между тем, по его словам, компании нуждаются в информации, чтобы определить, какие программные компоненты использовать в своих приложениях в будущем.

«Когда компании думают о том, какой код они используют и на какой код они полагаются, часто они думают только о том, какие пакеты их разработчики помещают непосредственно в свои продукты», — говорит Нэгл. «Однако у нас есть все эти слои и слои зависимостей… Когда вы думаете о том, какое программное обеспечение вы используете и на что вы полагаетесь, это просто не может быть высший уровень, верхушка айсберга; вы должны копай глубже».

Наконец, первые 500 списков могут быть предупреждением для тех, кто занимается поддержкой проектов с открытым исходным кодом, о том, что их код затрагивает гораздо больше пользователей, чем они могли ожидать, говорит он.

«Отдельные разработчики часто не знают — они часто не знают, насколько широко распространены их пакеты», — говорит он.

Второй этап инициативы Linux Basis
Проект Census II является продолжением предыдущих усилий по поиску наиболее важного программного обеспечения с открытым исходным кодом. В 2015 году в рамках Инициативы базовой инфраструктуры Linux Basis был завершен первоначальный проект переписи, или перепись I, для исследования дистрибутива Debian Linux и определения компонентов, наиболее важных для работы и безопасности основной операционной системы. Census II значительно расширяет это за счет большего количества данных, заявил Брайан Белендорф, исполнительный директор Open Supply Safety Basis (OpenSSF) Linux Basis.

«Понимание того, какие пакеты FOSS наиболее широко используются в обществе, позволяет нам активно участвовать в критически важных проектах, требующих поддержки операций и безопасности», — сказал он. «Программное обеспечение с открытым исходным кодом — это основа, на которой строится наша повседневная жизнь, от наших банковских учреждений до наших школ и рабочих мест. Census II предоставляет основные детали, необходимые нам для поддержки наиболее важной и ценной инфраструктуры в мире».

https://cyberxhack.org/